La autenticación de inicio de sesión SASL falló: UGFzc3dvcmQ6 - Encuentre el nombre de usuario

21

Primero permítanme decir que el servidor de correo funciona bien y que los usuarios pueden conectarse y enviar correos electrónicos.

Básicamente, hay un script web local que se conecta al servidor de correo tratando de enviar correo cada pocos minutos. Tiene la contraseña incorrecta El problema es que no sabemos en qué script se está conectando, por lo que estamos buscando una forma de obtener el nombre de usuario que se está probando.

UGFzc3dvcmQ6: decodifica a contraseña: por lo tanto, no es de mucha ayuda. Una línea de registro completa está debajo.

Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

El servidor ejecuta Debian / Postfix / Dovecot.

Ryaner
fuente
55
Tengo los mismos registros. La dirección IP siempre cambia, y llegan solicitudes de todo el mundo. Es más probable un descanso en el intento.
nagylzs
3
El viejo UGFzc3dvcmQ6. Todavía trato de iniciar sesión en mi servidor desde todas partes después de todos estos años. Solo tengo que ignorarlo.
TommyPeanuts
1
UGFzc3dvcmQ6 está codificado con 'Contraseña' en base64, también veo 'VXNlcm5hbWU6', que es 'Nombre de usuario', ha sido así durante años.
Jason Morgan

Respuestas:

16

Pudimos rastrear el nombre de usuario usando Dovecot.

En la /etc/dovecot/conf.d/10-logging.confconfiguración, habilitamos el registro detallado de autenticación usando

auth_verbose = yes

Esto puso la información en

/etc/dovecot/info.log
Ryaner
fuente
¿No debería estar el registro /var/log/dovecot-info.log?
Chloe
1
El mío está en syslog
ISparkes
6

Pude evitar esto configurando SSL y requiriendo intentos de autenticación sobre SSL solo con

smtpd_tls_auth_only = yes

Esto no presenta la AUTHopción al cliente remoto después, EHLOpor lo que los spammers / hackers se dan por vencidos porque establecer una conexión SSL es demasiado tiempo. Trabajan un juego de números. Ahora, en cambio, cuelga cuando lo intentan AUTHy obtengo esto en mis registros:

Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan  7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]
Chloe
fuente
1

Si tiene fail2ban instalado, puede habilitar sasl (o a veces llamado postfix-sasl) en su jail.local (o jail.d) y eso debería hacer que las molestias desaparezcan.

## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true

[postfix-sasl]
enabled = true
Jason Morgan
fuente